굳이 설명은 안하겠습니다...

 

http://krebsonsecurity.com/2015/03/kreditech-investigates-insider-breach/

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    지난 2013년도에는 3.20 사이버테러, 6.25 사이버워 등 굵직굵직한 사건들이 참 많았습니다. 덕분에 관련된 많은 사람들이 고생도 많이 하셨을 것이고, 또한 이를 통해 APT 등 새로운 분야에 대한 관심사가 떠오르기도 했습니다.

     

    보안 쪽 특히 해킹이나 악성코드 분석에 관심이 있는 친구들이라면, 꼭봐둬야할 기사를 하나 소개합니다.

     

    PC에 뭔가 있는거 같다! 뭘 유심히 봐야 하느냐! 에 대한 해외 자료입니다.

     

    http://journeyintoir.blogspot.kr/2014/01/it-is-all-about-program-execution.html

     

    요약하면...

    What Malware Indicators to Look For


    As the name implies program execution artifacts show what programs executed on a system and at times what programs were present on the system. The significance of knowing what programs ran can be seen in my corollary to the Rootkit Paradox:

          1. They need to run
          2. They want to remain hidden

    Malware wants to remain hidden on a system so it can accomplish what it was designed to do. However, in order for malware to hide on a system a program has to run. This program executes to either hide itself or another piece of malware; in the process it will leave artifacts on the system. These artifacts - program execution artifacts - can be used to find where the malware is hidden. Below are the malware indicators to look for as the program execution artifacts are reviewed (my post Triaging Malware Incidents shows how to use these indicators for triaging).

          - Programs executing from temporary or cache folders
          - Programs executing from user profiles (AppData, Roaming, Local, etc)
          - Programs executing from C:\ProgramData or All Users profile
          - Programs executing from C:\RECYCLER
          - Programs stored as Alternate Data Streams (i.e. C:\Windows\System32:svchost.exe)
          - Programs with random and unusual file names
          - Windows programs located in wrong folders (i.e. C:\Windows\svchost.exe)
          - Other activity on the system around suspicious files

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      태국의 외교부 및 대사관 홈페이지가 현재 해킹된 상태이며 의약품에 관련된 많은 스팸을 발송하는데 이용되고 있는 것으로 알려지고 있습니다.


      구글의 검색 엔진에서 해당 홈페이지에서 유포되고 있는 스팸 페이지를 보면, 약 56만 2,000여개가 됩니다.


      감사합니다.

      출처: http://blog.sucuri.net/2011/02/thailand-official-foreign-affairs-embassy-web-sites-hacked.html?utm_medium=twitter&utm_campaign=winsec&utm_source=%40winsec
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        최근 미국과 그외 지역에서 정부기관과 군 웹사이트를 저렴하게 판매하고 있다는 사이트에 대해 알려져 화제가 되고 있습니다.


        위의 화면에서 보면, 이탈리아 정부 공식 웹사이트(http://itcpantaleo.gov.it), 미국 유타주 웹사이트(http://utah.gov), 심지어 미군 CECOM 웹사이트(http://cecom.army.mil) 사이트를 판매한다고 올라와 있습니다.

        보안 관련 기업인 Imperva에서 공개한 거으로 웹사이트는 가장 저렴한 것이 33달러부터 가장 비싼 것은 499달러까지 이른다고 합니다. 

        시스템 레벨을 살펴 볼 때에 SQL 인젝션과 같은 웹 취약점을 통해 시스템 권한을 장악했을 것으로 추측하고 있습니다.

        한편, 정확히 이 부분에 대해서 구매하거나 하는 접근 방식이 없기 때문에 가짜일 가능성도 있습니다. 혹자는 검색엔진에서 상위에 오르게 하기 위한 하나의 SEO 일 가능성이 있다고 합니다.

        감사합니다.
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          TAG CECOM, 해킹
          영국의 이동 통신 사업자 중의 하나인 보다폰(Vodafone)에서 수백만 건의 고객 정보가 누출되는 사고가 발생했다고 알려지고 있습니다. 누출 사고가 발생한 곳은 호주(오스트레일리아)로 약 4백만건으로 유추되고 있습니다.

          이 사고는 웹 해킹등과 같은 외부 요인이 아니라 고객의 비밀번호 뿐만 아니라 결제정보와 같은 중요한 개인 정보 DB를 공유하여 사용하는 직원, 또는 딜러들이 일으킨 것으로 믿어지고 있다고 밝혔습니다. 

          보다폰의 대표인 Nigel Dews에 따르면 고객 DB가 누출됨에 따라 모든 비밀번호를 초기화(reset)하도록 조치하였으며 월요일(영국 기준)에 보다 자세한 보고서를 발표할 예정이라고 합니다.


          여기서도 보안 상의 헛점이 나타나는데, 바로 고객 DB에 접근할 수 있는 컴퓨터가 내부 시스템에 있는 것이 아니라 인터넷에 연결된 컴퓨터라면 별 문제없이 접근할 수 있다는 점입니다.

          또한, 대리점과 같은 딜러들도 개인 정보를 수정할 수 있을 뿐만 아니라 결제 정보 등에도 접근이 가능하다고 밝히고 있습니다.


          만약, 딜러들이 사용하는 컴퓨터에 악성코드와 같이 원격에서 접근할 수 있는 방법이 존재한다고 치면, 실제 내부자로 인해 정보가 누출되었다고 하지만, 결론적으로는 인터넷 상에 노출된 것이나 다름없다고 보여집니다.


          감사합니다.
          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            <사진. 개인정보가 누출된 개인에게 보낸 안내문>

            뉴욕에 위치한 버스 관광 회사인 CitySights NY는 이달 초 SQL Injection 취약점으로 인해 약 11만 개의 데빗카드의 정보가 유출되었다고 발표했습니다.

            사고는 9월 26일에 발생했으며 10월 25일이 되어서야 사고가 발생한 사실을 알아차리게 되었다고 합니다.

            이 보안 사고는 현재 처리 중에 있으며, 버스 회사는 누출된 정보에 대한 추가적인 피해를 막기 위해 1년간 카드 정보 모니터링 서비스와 할인 쿠폰(코드는 012345)을 제공하면서 어느정도 마무리가 되어 가고 있습니다.

            이와 같이 아무리 시스템으로 잘 되어 있더라도 SQL Injection과 같은 웹 취약점으로 인해 귀중한 개인정보가 손쉽게 유출될 수 있다는 점은 몇년전부터 제기되어 왔지만, 국내외적으로 아직도 이러한 문제점을 많이 가지고 있다는데에 더 심각성이 있다고 생각됩니다.

            감사합니다.

            출처: http://www.thewhir.com/web-hosting-news/122110_110000_Credit_Card_Numbers_Stolen_in_Tour_Company_Web_Server_Hack
            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus
              맥도날드가 다른 회사의 데이터베이스를 침투하여 확인되지 않은 패스트푸드 체인사의 고객 DB 정보는 훔쳐가는 사건으로 인해 정부 당국과 조사를 벌이고 있는 것으로 알려져 있습니다.

              맥도날드는 이메일과 웹사이트를 통해 정보가 누출될 가능성이 있는 고객에게 알린 바가 있다. 하지만, 맥도날드는 누출된 정보 가운데에 금융정보나 사회보장번호(주민등록번호)는 포함되지 않았다고 강조했으며, 아마 고객의 나이, 전화번호, 이메일주소, 주소가 포함될 수 있다고 합니다.

              해킹은 전세계에서 가장 큰 패스트푸드 체인이 Arc Worldwide에서 프로모션을 위한 이메일을 발송한 것에서 시작되었으며, 이 정보를 정체가 알 수 없는 업체가 접속한 것이라고 맥도날드에서 전했습니다.

              한편, 11일(토)에 알려진 추가적인 사항을 보면 Walgreens의 고객에게 이와 유사한 메일이 보내졌다고 합니다. 

              이와 같이 웹서비스를 통해 데이터베이스가 누출되는 경우 중 하나가 바로 협력사(Partner)나 하청업체에게 데이터베이스 접속할 수 있는 권한이 있을 때도 발생할 수 있다는 대표적인 사례로 앞으로 널리 언급될 것으로 예상됩니다.



              감사합니다.
              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus
                제목이 자극적일 수도 있지만, 우리나라의 상황이 아니고 머나먼 잠비아 라는 아프리카에 위치한 나라의 이야기 입니다.


                지난 11월 15일 잠비아 경찰은 인터넷을 관장하는 정부 기관에게 와치도그 사이트와 이메일을 해킹하도록 명령을 내렸다고 합니다. 따라서 현재 정부기관은 와치도그 웹사이트에서 글을 쓴 이들을 추적 중에 있습니다.

                경찰은 그레고리 피리(Gregory Phiri)판사가 발급한 법원 명령서를 잠비아 정보 통신 기술원(ZICTA, Zambia Information and Communication Technology Authority)에 전달하였으며 와치도그 사이트의 해킹을 시작하도록 요구했습니다.

                경찰은 ZICTA가 웹사이트를 해킹하여 와치도그 사이트의 소식통으로 의심받을 수 있는 사람들의 이메일도 해킹하도록 요구했습니다.

                하지만, 와치도그 웹사이트는 잠비아 국내에 위치해 있는 것이 아니라 유럽에 있는 업체에서 호스팅을 받고 있는 것으로 알려져 있으며, 당연히 잠비아 경찰의 사법권이 미칠 수 없습니다.

                하지만, 엄청난 물량의 블러디 머니(Bloody Money, 살인사례금)가 와치도그 웹사이트의 해킹에 일조하고 있으며 그 압력이 거세지고 있으며, ZICTA는 국제법 상의 논란에도 불구하고 해킹을 그만둘 것으로 보여지지는 않습니다.

                잠비아 경찰은 와치도그 웹사이트에 정보를 제공하는 사람과 댓글을 달은 사람들의 IP주소를 추적하길 원하고 있습니다.

                출처: http://www.zambianwatchdog.com/2010/11/13/watchdog-writers-fear-for-their-lives-as-government-hunts-them-down/
                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus
                  지난 8일 영국의 해군 웹사이트(http://www.royalnavy.mod.uk)의 메인 사이트가 해킹을 당한 사건이 발생했습니다. 현재에는 사이트가 일시 중지되어 있는 상태입니다.


                  해킹의 범인은 루마니아 해커인 TinKode로 알려져 있으며, 이 해킹에 대한 정보를 인터넷에 공개한 것으로 알려지고 있습니다.


                  TinCode가 올려 놓은 글을 분석해 보면, 실제로 웹서버는 완벽하게 장악 당한 것으로 보입니다. 서버의 각종 정보, 데이터베이스의 정보 뿐만 아니라 계정정보(비밀번호)가 저장되는 /etc/passwd 파일까지 공개되었습니다. 이에 대한 정보는 아래 링크를 참고하십시오.


                  한편, TinKode는 과거에도 NASA, 미군 사이트 등과 같이 여러 웹사이트를 해킹한 전력이 있으며, 특히 국가나 국방에 관련된 기관을 주로 대상으로 삼는 경우가 있었습니다.

                  아이러니하게도 최근에 EU에서는 사이버 보안에 대한 여러가지 행사를 벌인 바가 있으며, 언론에 성공적으로 마쳤다는 소식이 있었는데, 이러한 면에서 볼 때, 눈가리고 아웅하는 것이 아닌가 싶습니다.

                  보안 기업인 소포스(Sophos)에 따르면 이번 해킹은 어떤 정보를 빼내기 위한 악의적인 행동이 아니라 이러한 문제점이 있다고 알리는 경고성 이벤트라는 분석이 있습니다. 먼저, 그 외 데이터에 대한 변조가 없었으며(정확히는 알려지지 않았으며), 웹사이트가 보유하고 있는 정보(데이터베이스)의 성격상 개인정보나 군사기밀이 포함될 가능성이 적기 때문입니다.

                  이러한 사건을 볼 때, SQL Injection 취약점을 가진 웹사이트는 적어도 DB 변조나 파일 변조, 누출과 같은 문제점을 내포하고 있다고 볼 수 있습니다. 문제는 SQL Injection 취약점을 가진 웹사이트가 얼마나 될 지 그건 감히 말할 수 없는 심각한 문제라는 사실입니다.

                  감사합니다.


                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus
                    외국의 잡지 사이트 중 하나인 보잉보잉이 현재 해킹당한 상태로 있습니다. 아마도 새로 개발한 웹사이트를 골탕먹이려고 하는 것으로 보입니다. 해킹의 원인으로는 SQL Injection 취약점이 주요한 것으로 보입니다.

                    해킹당한 웹사이트: http://boingboing.net/

                    <사진: 해킹 후 변조된 웹사이트에 업로드된 사진>

                    기존 웹사이트: http://www.boingboing.net/reviews/

                    출처: http://twitter.com/BoingBoing/status/28960898602#

                    끝.
                    reTweet
                    Posted by 문스랩닷컴
                    blog comments powered by Disqus


                      Web Analytics Blogs Directory